Kategorie: Aufsichtsbehördliche Maßnahmen

LDI Berlin verhängt Bußgeld in Höhe von 14,5 Millionen Euro gegen Wohnungsgesellschaft

5. November 2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.

Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Bundesrat stimmt Anpassungen an DSGVO beim 2. DSAnpUG EU zu

9. Oktober 2019

Ende Juni 2019 hat der Bundestag zahlreiche Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verabschiedet. Der Bundesrat hat diesen Anpassungen am 20.09.2019 nun zugestimmt.

Das aus 150 Artikel bestehende „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wird nun zur Unterzeichnung dem Bundespräsidenten weitergeleitet. Insgesamt greift es in 154 Fachgesetze ein und regelt den sogenannten bereichsspezifischen Datenschutz. Es liegen viele Anpassungen zu Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechte vor.

Vor allem werden kleine Betriebe und ehrenamtliche Vereine insofern entlastet, dass die Pflicht einen betrieblichen Datenschutzbeauftragten zu bennenen künftig ab einer Personenzahl von 20 greift. Bislang musste nach § 38 BDSG ein Datenschutzbeauftragter eingesetzt werden, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist jedoch darauf hin, dass es kleinen Unternehmen schwerfallen wird, den datenschutzrechtlichen Anforderungen ohne einen juristisch und technisch versierten Datenschutzbeauftragten gerecht zu werden.

Bußgeld gegen Delivery Hero

19. September 2019

Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.

Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.

Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).

Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen
Schlagwörter:

Datenpanne bei Handwerksunternehmen: Bewerbungsmappen in der Gelben Tonne

14. August 2019

Anwohner fanden in Neukirchen-Vluyn sechs Bewerbungen im Recyclingmüll. Wie jede Bewerbungsmappe sind sie gefüllt mit Fotos und dem kompletten Lebenslauf, dessen Stationen durch Zeugnisse belegt werden. Experten zu folge ist ein Identitätsdiebstahl anhand solcher Daten durchaus möglich. Die Anwohner sandten die Mappen dem Landesbeauftragten für Datenschutz in NRW zu.

Datenschutzrechtlich sind Unterlagen der erfolglosen Bewerber zurückzusenden, zu vernichten und/oder zu löschen. Da der ursprüngliche Zweck der Datenverarbeitung, die Auswahl eines geeigneten Bewerbers, nun weggefallen ist, hat die Löschung der Daten bzw. Vernichtung oder Rücksendung der Unterlagen grundsätzlich unverzüglich nach Abschluss des Bewerberverfahrens (also Einstellung des neuen Mitarbeiters) zu erfolgen. Etwas anderes gilt nur, sofern eine gesetzliche Grundlage, die Einwilligung des Bewerbers oder ein berechtigtes Interesse für eine weitere Aufbewahrung oder Speicherung der Unterlage vorliegt.

Die papiergebundenen Unterlagen sind, soweit sie nicht an den Bewerber zurück gesendet werden, mit Hilfe eines Aktenvernichters entsprechend der Sicherheitsstufe P4 der DIN-Norm 66399 zu vernichten. Das bedeutet, dass die Unterlagen mittels eines Papier-Schredders mit Partikelschnitt von max. 160mm² mit einer Streifenbreite von max. 6mm zu zerkleinern sind.

Dieser Pflicht ist das Handwerksunternehmen in Vluyn nicht nachgekommen. Es bleibt abzuwarten, welche Konsequenzen darauf folgen.

BfDi Prof. Ulrich Kelber möchte „Alexa“ und „Siri“ überprüfen

1. August 2019

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Ulrich Kelber möchte künftig die Sprachassistenten „Alexa“ und „Siri“ überprüfen. Zumindest geht dies aus Medienberichten sowie einer Mitteilung des Bundestages hervor. Er betonte, dass sich mit den in Rede stehenden Sprachassistenten beschäftigt und deren datenschutzrechtliche Konformität auf Grundlage der Datenschutzgrundverordnung geprüft werden müsse.

Darüber hinaus hat der Hessische Landesdatenschutzbeauftragte, Herr Prof. Ronellenfitsch die Nutzung von Microsoft Office 365 an Schulen verboten. Dies sind nur zwei Beispiele dafür, dass die Aufsichtsbehörden mittlerweile langsam die Überforderung des ersten Jahres nach Inkrafttreten der DSGVO überwinden und zum täglichen Geschäft übergehen.

Ob dies tatsächlich der Fall ist und wie die Meinung der Aufsichtsbehörden bezüglich der Umsetzung der DSGVO im Allgemeinen aussieht, können Sie beim datenschutzticker.live, am 30.10.2019 in der Wolkenburg in Köln erfahren. Im Rahmen des datenschutzticker.live werden unter anderem sowohl Herr Prof. Kelber als auch Herr Prof. Ronellenfitsch und der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Herr Dr. von Bose über aktuelle Themen referieren.

Hierfür müssen Sie sich lediglich verbindlich anmelden. Die Veranstaltung ist kostenlos.

Immer mehr Datenpannen in Arztpraxen

31. Juli 2019

Der baden-württembergische Landesdatenschutzbeauftragte warnt in seiner gestrigen Pressemeldung eindringlich vor Datenpannen in Arztpraxen. Ganz besonders Verschlüsselungstrojaner sind die Quelle vieler Datenschutzverletzungen. Auch die Übermittlung von Patientenberichte oder Röntgenbilder an falsche Empfänger stellen ein großes Problem dar.

Es ist zwingend notwendig, dass eine Datensicherung, Verschlüsselung sowie die Schulung und Sensibilisierung der Mitarbeiter stattfindet. Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird.“

Bislang hat die Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Seit dem Wirksamwerden der neuen EU-Datenschutzverordnung im Mai 2018 hat sich die Zahl der Datenpannen demzufolge verzehnfacht.

Die am häufigsten gemeldeten Datenschutzverletzungen:  Postfehlversand,  Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers und Fax-Fehlversand.

Facebook einigt sich mit der amerikanischen Verbraucherschutzbehörde

15. Juli 2019

Das Unternehmen Facebook und die US-Verbraucherschutzbehörde FTC haben sich im Zusammenhang mit Verstößen gegen datenschutzrechtliche Regelungen Medienberichten zufolge verglichen. Ausgehend von diesen soll das Unternehmen eine Strafe in Höhe von fünf Milliarden US-Dollar zahlen.

Die FTC hatte diese Ermittlungen im vergangenen Jahr eingeleitet. Konkreter Gegenstand der Ermittlungen war der unrechtmäßige Zugriff des Unternehmens Cambridge Analytica auf diverse Nutzerdaten. Damit der Vergleich wirksam wird, muss zunächst das amerikanische Justizministerium dem Vergleich zustimmen.

Dieser Zugriff betraf ebenfalls Fälle im Anwendungsbereich der DSGVO. So hat unter anderem die italienische Datenschutzbehörde ebenfalls ein Bußgeld gegen das Unternehmen verhängt.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen
Schlagwörter:

Datenschutzbehörde untersucht Apple auf DSGVO-Verstöße

4. Juli 2019

Die Irische Datenschutzbehörde untersucht ob die Apple Inc. den Pflichten aus der Datenschutzgrundverordnung nachkommt. Es handelt sich dabei nicht um die erste offizielle Prüfung des Unternehmens Für Apple ist innerhalb der Europäischen Union der Data Protection Commissioner (DPC) der Republik Irland zuständig. Bei der aktuellen Prüfung soll der Fokus besonders auf der Realisierung von Auskunftsersuchen durch Kunden gerichtet sein.

Bereits im letzten Jahr wurden durch den DPC zwei Prüfungen des Unternehmens veranlasst um festzustellen, ob die Datenschutzbestimmungen für die Nutzer transparent genug sind.

Falls Verstöße gegen die Datenschutzgrundverordnung festgestellt werden sollten, könnten diese mit hohen Strafzahlungen geahndet werden. Apple ist nicht das einzige Unternehmen gegen das Untersuchungen durch den DPC eingeleitet wurden. Auch Facebook sowie den damit verbundenen Unternehmen Twitter, WhatsApp und Instagram wurden zahlreiche Untersuchungen auferlegt.

Facebook in Italien zu Geldstrafe verurteilt

1. Juli 2019

Das Unternehmen Facebook wurde ausgehend von einer Pressemitteilung der italienischen Aufsichtsbehörde zu einer Geldstrafe von 1 Millionen Euro verurteilt. Konkret ging es um die im Jahr 2018 bekannt gewordene unerlaubte Weitergabe personenbezogener Daten an das Unternehmen Camebridge Analytica. Dieses hatte besagte Informationen über eine App erhalten und ausgewertet.

Dies ist nicht das einzige Verfahren in dem sich Facebook verantworten muss. In den Vereinigten Staaten sieht sich das Unternehmen beispielsweise zivilrechtlichen Ansprüchen ausgesetzt.

Trotz dem, im Vergleich zu dem maximalen Strafmaß, noch milden Bußgeld ist eine eindeutige Tendenz hin zur konsequenteren Durchsetzung datenschutzrechtlicher Normen erkennbar. Vor diesem Hintergrund sind Unternehmen gut beraten, die datenschutzrechtliche Konformität ihrer Prozesse zu überprüfen.

LfDI Baden-Württemberg verhängt erstes Bußgeld gegen Privatperson

19. Juni 2019

Das Landesamt für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat ausweislich einer von ihm herausgegebenen Mitteilung ein erstes Bußgeld gegen einen Polizeibeamten verhängt.

Dieser habe dienstlich erlangte personenbezogene Daten rechtswidrig zu privaten Zwecken verwendet. Konkret habe er ohne dienstlichen Bezug und unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) Daten einer privaten Zufallsbekanntschaft abgefragt und zur Ermittlung der Festnetz- und Mobilfunknummern weiterverwendet. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.

Aus diesem Grund sei eine Geldbuße in Höhe von 1.400,- Euro verhängt worden. Es handele sich um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Landesdatenschutzgesetzes (LDSG).

1 2 3 20